某信息安全技術公司風險評估概述

風險評估101藍盾信息安全技術股份有限公司程曉峰2009年11月1日什么是風險評估？——從深夜一個回家的女孩開始講起……風險評估3風險

風險管理（RiskManagement）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風險的過程。在信息安全領域，風險（Risk）就是指各種威脅導致安全事件發(fā)生的可能性及其對組織所造成的負面影響。風險管理

風險評估（RiskAssessment）就是對各方面風險進行辨識和分析的過程，它包括風險分析和風險評價，是確認安全風險及其大小的過程。風險評估的基本概念資產(chǎn)影響威脅弱點風險錢被偷100塊沒飯吃小偷打瞌睡服務器黑客軟件漏洞被入侵數(shù)據(jù)失密通俗的比喻風險RISKRISKRISKRISK風險原有風險采取措施后的剩余風險影響威脅脆弱性影響威脅脆弱性風險管理的目標風險評估和風險管理的關系風險評估是風險管理的關鍵環(huán)節(jié)，在風險管理循環(huán)中，必須依靠風險評估來確定隨后的風險控制與改進活動。信息安全屬性保密性CONFIDENTIALATY確保信息只能由那些被授權使用的人獲取完整性INTEGRITY保護信息及其處理方法的準確性和完整性可用性AVAILABILITY確保被授權使用人在需要時可以獲取信息和使用相關的資產(chǎn)可用性確保獲得授權的用戶可訪問信息并使用相關信息資產(chǎn)

完整性保護信息和處理方法的準確和完整

確保只有獲得授權的人才能訪問信息

保密性進不來拿不走改不了跑不了看不懂可審查不可抵賴曾經(jīng)完成的操作和承諾不可抵賴性可控制網(wǎng)絡信息傳播及內(nèi)容可控性確保硬件、軟件、環(huán)境各方面的可靠運行可靠性信息安全之屬性風險計算體系風險評評價確定風風險的的等級級，有有兩個個關鍵鍵因素素要考考慮（（定性性風險險評估估）：：威脅對對信息息資產(chǎn)產(chǎn)造成成的影響（后果））威脅發(fā)生生的可能性影響可以以通過資資產(chǎn)的價價值（重重要性））評估來來確定。?？赡苄钥煽梢愿鶕?jù)據(jù)對威脅脅因素和和弱點因因素的綜綜合考慮慮來確定定。按照風險險分析模模型計算算得出風風險水平平。風險評價價示例13確定風險險處置策策略降低風險險（ReduceRisk）——采取適當當?shù)目刂浦拼胧﹣韥斫档惋L風險，包包括技術術手段和和管理手手段，如如安裝防防火墻，，殺毒軟軟件，或或是改善善不規(guī)范范的工作作流程、、制定業(yè)業(yè)務連續(xù)續(xù)性計劃劃，等等等。避免風險險（AvoidRisk）——通過消除除可能導導致風險險發(fā)生的的條件來來避免風風險的發(fā)發(fā)生，如如將公司司內(nèi)外網(wǎng)網(wǎng)隔離以以避免來來自互聯(lián)聯(lián)網(wǎng)的攻攻擊，或或是將機機房安置置在不可可能造成成水患的的位置，，等等。。轉移風險險（TransferRisk）——將風險全全部或者者部分地地轉移到到其他責責任方，，例如購購買商業(yè)業(yè)保險。。接受風險險（AcceptRisk）——在實施了了其他風風險應對對措施之之后，對對于殘留留的風險險，組織織可以有有意識地地選擇接接受。14評價殘留留風險絕對安全全（即零零風險））是不可可能的。。實施安全全控制后后會有殘殘留風險險或殘存存風險（（ResidualRisk）。為了確保保信息安安全，應應該確保保殘留風風險在可可接受的的范圍內(nèi)內(nèi)：殘留風險險Rr＝原有有的風險險R0－控制制ΔR殘留風險險Rr≤可接受的的風險Rt對殘留風風險進行行確認和和評價的的過程其其實就是是風險接接受的過過程。決決策者可可以根據(jù)據(jù)風險評評估的結結果來確確定一個個閥值，，以該閥閥值作為為是否接接受殘留留風險的的標準。。ISO27001信息安全全管理體體系建立立ISO17799:2005業(yè)務連續(xù)續(xù)性管理理（Businesscontinuitymanagement）信息安全全事故管管理（Informationsecurityincidentmanagement）訪問控制制（Accesscontrol）人力資源源安全（Humanresourcessecurity）物理和和環(huán)境境安全全（Physicalandenvironmentalsecurity）通信和和操作作安全全（CommunicationsandoperationsManagement）信息系系統(tǒng)采采集開發(fā)和和維護護（Informationsystemacquisition,developmentandmaintenance）資產(chǎn)管管理（Assetmanagement）信息安安全的的組織織（Organizinginformationsecurity）安全策策略（SecurityPolicy）基于ISO27001的信息息安全全管理理體系系架構構A15合規(guī)性相關方要求實施(D)策劃(P)改進(A)檢查(C)相關方滿意A14業(yè)務連續(xù)性管理A13信息安全事件管理A7資產(chǎn)管理A6組織信息安全A5安全方針A11訪問控制A8人力資源安全A9物理/環(huán)境安全A10通訊運營管理A12信息系統(tǒng)獲取、開發(fā)及維護人員技術信息流程環(huán)境注：11控制域域，39控制目目標，，133控制措措施等保測測評與與風險險評估估的區(qū)區(qū)別目的不不同等級測測評：：以是是否符符合等等級保保護基基本要要求為為目的的照方抓抓藥風險評評估：：以PDCA循環(huán)持持續(xù)推推進風風險管管理為為目的的對癥下下藥等保測測評與與風險險評估估的區(qū)區(qū)別參照標標準不不同等級測測評：：GB17859-1999《計算算機信信息系系統(tǒng)安安全保保護等等級劃劃分準準則》》GA/T387-2002《《計算算機信信息系系統(tǒng)安安全等等級保保護網(wǎng)網(wǎng)絡技技術要要求》》GA388-2002《《計計算機機信息息系統(tǒng)統(tǒng)安全全等級級保護護操作作系統(tǒng)統(tǒng)技術術要求求》GA/T389-2002《計計算機機信息息系統(tǒng)統(tǒng)安全全等級級保護護數(shù)據(jù)據(jù)庫管管理系系統(tǒng)技技術要要求》》GA/T390-2002《《計算算機信信息系系統(tǒng)安安全等等級保保護通通用技技術要要求》》GA391-2002《《計計算機機信息息系統(tǒng)統(tǒng)安全全等級級保護護管理理要求求》…風險評評估：：BS7799ISO17799ISO27001ISO27002GBT20984-2007《信息安安全技技術信信息息安全全風險險評估估規(guī)范范》…等保測測評與與風險險評估估的區(qū)區(qū)別可以簡單的的理解為等等保是標準準或體系，，風險評估是一種針對性性的手段。為什么需要要進行風險險評估？——該買辣椒水水呢還是請請保鏢？什么樣的信信息系統(tǒng)才才是安全的的?如何確保信信息系統(tǒng)的的安全?兩個基本問問題什么樣的信信息系統(tǒng)才才是安全的的?如何確保信信息系統(tǒng)的的安全?風險分析風險管理基本問題的的答案潛在損失在可以承受受范圍之內(nèi)的系統(tǒng)統(tǒng)風險分析安全決策風險管理兩個答案的的相關性信息安全的的演化概念的演化化和技術的的演化同步步可信是保障障概念的延延續(xù)信息安全的的事實廣泛安全是一個個廣泛的主主題，它涉及到許許多不同的的區(qū)域（物物理、網(wǎng)絡絡、系統(tǒng)、、應用、管管理等），，每個區(qū)域域都有其相相關的風險險、威脅及及解決方法法。動態(tài)相對絕對的信息息安全是不不存在的。。信息安全問問題的解決決只能通過過一系列的的規(guī)劃和措措施，把風風險降低到到可被接受受的程度，，同時采取取適當?shù)臋C機制使風險險保持在此此程度之內(nèi)內(nèi)。當信息息系統(tǒng)發(fā)生生變化時應應當重新規(guī)規(guī)劃和實施施來適應新新的安全需需求。人信息系統(tǒng)的的安全往往往取決于系系統(tǒng)中最薄弱的的環(huán)節(jié)-人。人是信息安安全中最關關鍵的因素素，同時也也應該清醒醒的認識到到人也是信信息安全中中最薄弱的的環(huán)節(jié)。僅僅依賴于于安全產(chǎn)品品的堆積來來應對迅速速發(fā)展變化化的各種攻攻擊手段是是不能持續(xù)續(xù)有效的。。信息安全全建設是一一項復雜的的系統(tǒng)工程程，要從觀觀念上進行行轉變，規(guī)規(guī)劃、管理理、技術等等多種因素素相結合使使之成為一一個可持續(xù)續(xù)的動態(tài)發(fā)發(fā)展的過程程。安全保障體體系建設安全成本效率安全全-效率率曲曲線線安全全-成本本曲曲線線要研研究究建建設設信信息息安安全全的的綜綜合合成成本本與與信信息息安安全全風風險險之之間間的的平平衡衡，，而而不不是是要要片片面面追追求求不不切切實實際際的的安安全全不不同同的的信信息息系系統(tǒng)統(tǒng)，，對對于于安安全全的的要要求求不不同同，，不不是是“越越安安全全越越好好””信息息安安全全保保障障能能力力成成長長階階段段成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%能力力成成長長階階段段的的劃劃分分盲目目自自信信階階段段普遍遍缺缺乏乏安安全全意意識識，，對對企企業(yè)業(yè)安安全全狀狀況況不不了了解解，，未未意意識識到到信信息息安安全全風風險險的的嚴嚴重重性性認知階段通過信息安全全風險評估等等，企業(yè)意識識到自身存在在的信息安全全風險，開始始采取一些措措施提升信息息安全水平改進階段意識到局部的的、單一的信信息安全控制制措施難以明明顯改善企業(yè)業(yè)信息安全狀狀況，開始進進行全面的信信息安全架構構設計，有計計劃的建設信信息安全保障障體系卓越運營階段段信息安全改進進項目完成后后，在擁有較較為全面的信信息安全控制制能力基礎上上，建立持續(xù)續(xù)改進的機制制，以應對安安全風險的變變化，不斷提提升安全控制制能力各個階段的主主要工作任務務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%基本安全產(chǎn)品品部署主要人員的培培訓教育建立安全團隊制定安全方針針政策評估并了解現(xiàn)狀各個階段的主主要工作任務務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%啟動信息安全全戰(zhàn)略項目設計信息安全全架構建立信息安全全流程完成信息安全全改進項目各個階段的主主要工作任務務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%信息安全流程程的持續(xù)改進進追蹤技術和業(yè)業(yè)務的變化怎么做風險評評估？——可能的攻擊信息的價值可能的損失風險評估簡要要版資產(chǎn)威脅影響弱點控制可能性+=當前的危險級級別風險分析方法法示意圖損失的量化必必須圍繞用戶戶的核心價值值，用戶的核核心業(yè)務流程程如何量化損失失風險管理趨勢勢IT安全風險成為為企業(yè)運營風風險中最為重重要的一個組組成部分，業(yè)業(yè)務連續(xù)性逐逐漸與安全并并行考慮來源：Gartner否是否是風險評估的準準備已有安全措施施的確認風險計算風險是否接受受保持已有的控控制措施施施施選擇適當?shù)目乜刂拼胧┎⒃u評估殘余風險險實施風險管理理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余余風險風險識別評估過程文檔檔評估過程文檔檔風險評估結果果記錄評估結果文檔檔……等級保護下風風險評估實施施框架保護對象劃分分和定級網(wǎng)絡系統(tǒng)劃分分和定級資產(chǎn)脆弱性威脅風險分析基本安全要求求等級保護管理理辦法、指南南信息安全政策策、標準、法法律法規(guī)安全需求風險列表安全規(guī)劃風險評估4242風險評評估項項目實實施過過程計劃準備實施報告跟蹤4343評估工工作各各角色色的責責任評估組長評估員電網(wǎng)公司安全專責負責管理問卷訪談和運維問卷訪談；組織評估活動，控制協(xié)調(diào)進度，保證按計劃完成評估任務；組織召開評估會議；代表評估小組與受評估方管理層接觸；組織撰寫風險評估報告、現(xiàn)狀報告和安全改進建議提交評估報告。

負責風險評估技術部分的內(nèi)容包括：網(wǎng)絡、主機系統(tǒng)、應用和數(shù)據(jù)庫評估熟悉必要的文件和程序；準備風險評估技術評估工具；撰寫每單位的評估報告；配合支持評估組長的工作，有效完成評估任務；收存和保護與評估有關的文件。

負責配合顧問提供風險評估相關的工作環(huán)境、評估實現(xiàn)條件；備份系統(tǒng)數(shù)據(jù);配合評估顧問完成資產(chǎn)分類、賦值、弱點威脅發(fā)現(xiàn)和賦值、風險處理意見等工作；掌握風險評估方法；收存和保護與評估有關的文件。完成掃描后,檢查風險評估后系統(tǒng)的安全性和穩(wěn)定性4444風險評評估項項目實實施過過程計劃準備實施報告跟蹤4545制定評評估計計劃評估計計劃分分年度度計劃劃和具具體的的實施施計劃劃，前前者通通常是是評估估策劃劃階段段就需需要完完成的的，是是整個個評估估活動動的總總綱，，而具具體的的評估估實施施計劃劃則是是遵照照年度度評估估計劃劃而對對每次次的評評估活活動所所作的的實施施安排排。評估計計劃通通常應應該包包含以以下內(nèi)內(nèi)容：：目的：申明明組織織實施施內(nèi)部部評估估的目目標。。時間安安排：評估估時間間避免免與重重要業(yè)業(yè)務活活動發(fā)發(fā)生沖沖突。。評估類類型：集中中方式式（本本次項項目采采用集集中評評估方方式））其他考考慮因因素：范圍圍、評評估組組織、、評估估要求求、特特殊情情況等等。評估實實施計計劃是是對特特定評評估活活動的的具體體安排排，內(nèi)內(nèi)容通通常包包括：：目的、、范圍圍、準準則、、評估估組成成員及及分工工、評評估時時間和和地點點、首首末次次會議議及報報告時時間評估計計劃應應以文文件形形式頒頒發(fā)，，評估估實施施計劃劃應該該有評評估組組長簽簽名并并得到到主管管領導導的批批準。。4646風險評評估計計劃示示例評估目的評價信息安全管理體系運行的符合性和有效性評估范圍××××××××××××××××××評估準則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估小組評估組長×××評估組員×××××××××××××××評估活動

時間負責人備注填寫信息資產(chǎn)采集表X月上旬×××

實施風險評估過程X月中旬×××

不符合項及高危風險糾正X月末各相關部門負責人

跟蹤驗證X月上旬評估小組

召開風險評估整改會議X月下旬信息部領導

編制編寫者×××時間×××年×月×日評估評估者×××（信息按照專責簽字）時間×××年×月×日批準批準者×××（信息部門領導簽字）時間×××年×月×日4747風險評評估實實施計計劃示示例評估目的對ISMS進行內(nèi)部評估，為體系糾正提供依據(jù)，為管理評審提供輸入評估范圍××××××××××××××評估準則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估方式集中式評估評估時間X年X月X－X月X日評估組織評估組長×××評估組員第一小組×××××××××第二小組×××××××××評估安排日期時間評估區(qū)域評估內(nèi)容第一小組第二小組第一小組第二小組X9:00-9:30會議室首次會議9:30-12:00

14:00-17:00

17:00-18:00

X9:00-11:00

11:00-12:00會議室評估小組會議14:00-15:00會議室末次會議編制編寫者×××時間×××年×月×日評估評估者×××（信息安全專責簽字）時間×××年×月×日批準批準者×××（信息部管理者簽字）時間×××年×月×日4848風險評估項項目實施過過程計劃準備實施報告跟蹤4949檢查列表的的四要素去哪里？找誰？查什么？如何查？5050風險評估常常用方法檢查列表：評估員根根據(jù)自己的的需要，事事先編制針針對某方面面問題的檢檢查列表，，然后逐項項檢查符合合性，在確確認檢查列列表應答時時，評估員員可以采取取調(diào)查問卷卷、文件審審查、現(xiàn)場場觀察和人人員訪談等等方式。文件評估：評估員在在現(xiàn)場評估估之前，應應該對受評評估方與信信息安全管管理活動相相關的所有有文件進行行審查，包包括安全方方針和目標標、程序文文件、作業(yè)業(yè)指導書和和記錄文件件?，F(xiàn)場觀察：評估員到到現(xiàn)場參觀觀，可以觀觀察并獲取取關于現(xiàn)場場物理環(huán)境境、信息系系統(tǒng)的安全全操作和各各類安全管管理活動的的第一手資資料。人員訪談：與受評估估方人員進進行面談，，評估員可可以了解其其職責范圍圍、工作陳陳述、基本本安全意識識、對安全全管理獲知知的程度等等信息。評評估員進行行人員訪談談時要做好好記錄和總總結，必要要時要和訪訪談對象進進行確認。。技術評估：評估員可可以采用各各種技術手手段，對技技術性控制制的效力及及符合性進進行評估。。這些技術術性措施包包括：自動動化的掃描描工具、網(wǎng)網(wǎng)絡拓撲結結構分析、、本地主機機審查、滲滲透測試等等。5151評估員檢查查工具——檢查列表檢查列表（（Checklist）是評估員員進行評估估時必備的的自用工具具，是評估估前需準備備的一個重重要工作文文件。在實施評估估之前，評評估員將根根據(jù)分工情情況來準備備各自在現(xiàn)現(xiàn)場評估所所需的檢查查列表，檢檢查列表的的內(nèi)容，取取決于評估估主題和被被評估部門門的職能、、范圍、評評估方法及及要求。檢查列表在在信息安全全管理體系系內(nèi)部評估估中起著以以下重要作作用：明確與評估估目標有關關的抽樣問問題；使評估程序序規(guī)范化，，減少評估估工作的隨隨意性和盲盲目性；保證評估目目標始終明明確，突出出重點，避避免在評估估過程中因因迷失方向向而浪費時時間；更好地控控制評估估進度；；檢查列表表、評估估計劃和和評估報報告一起起，都作作為評估估記錄而而存檔。。5252檢查列表表編寫的的依據(jù)，，是評估估準則，，也就是是信息安安全管理理標準、、組織信信息安全全方針手手冊等文文件的要要求針對受評評估部門門的特點點，重點點選擇某某些應該該格外關關注的信信息安全全問題信息的收收集和驗驗證的方方法應該該多種多多樣，包包括面談談、觀察察、文件件和記錄錄的收集集和匯總總分析、、從其他他信息源源（客戶戶反饋、、外部報報告等））收集信信息等檢查列表表應該具具有可操操作性檢查列表表內(nèi)容應應該能夠夠覆蓋體體系所涉涉及的全全部范圍圍和安全全要求如果采用用了技術術性評估估，可在在檢查列列表中列列出具體體方法和和工具檢查列表表的形式式和詳略略程度可可采取靈靈活方式式檢查列表表要經(jīng)過過信息安安全主管管人員審審查無誤誤后才能能使用檢查列表表編寫注注意事項項53風險評估估技術工工具清單單技術漏洞洞掃描工工具綠盟漏洞洞掃描器器安信通數(shù)數(shù)據(jù)庫掃掃描器Nessus掃描器RatioanlAppscan5454風險評估估項目實實施過程程計劃準備實施報告跟蹤5555召開首次次會議在完成全全部評估估準備工工作之后后，評估估小組就就可以按按照預先先的計劃劃實施現(xiàn)現(xiàn)場評估估了，現(xiàn)現(xiàn)場評估估開始于于首次會會議，評評估小組組全體成成員和受受評估方方領導及及相關人人員共同同參加。。首次會議議由評估估組長主主持，評評估小組組要向組組織的相相關人員員介紹評評估計劃劃、具體體內(nèi)容、、評估方方法，并并協(xié)調(diào)、、澄清有有關問題題。召開首次會議議時，與會者者應該做好正正式記錄。5656首次會議議程程及內(nèi)容57風險評估原則則在風險評估前前，需要對技技術評估的風風險進行重審審。被評估方應在在接受技術評評估前對業(yè)務務系統(tǒng)備份。。在技術掃描過過程中，需要要系統(tǒng)管理員員全程陪同。。參考最近一年年的風險評估估記錄.在遇到異常情情況時，及時時通知管理員員，并且停止止評估。技術評估安排排在對系統(tǒng)影影響較小的時時間進行5858實施現(xiàn)場評估估首次會議之后后，即可進入入現(xiàn)場評估?！，F(xiàn)場評估按按計劃進行，，評估內(nèi)容參參照事先準備備好的檢查列列表。評估期間，評評估員應該做做好筆記和記記錄，這些記記錄是評估員員提出報告的的真憑實據(jù)。。記錄的格式式可以是“筆筆記式”，也也可以是“記記錄表式”，，一般來說，，內(nèi)審活動都都應該有統(tǒng)一一的“現(xiàn)場評評估記錄表””，便于規(guī)范范化管理。評估進行到適適當階段，評評估組長應該該主持召開評評估小組會議議，借此了解解各個評估員員的工作進展展，提出下一一步工作要求求，協(xié)調(diào)有關關活動，并對對已獲得的評評估證據(jù)和評評估發(fā)現(xiàn)展開開分析和討論論。5959對不符合項進進行描述無論是嚴重不不符合項還是是輕微不符合合項，評估員員都應該將其其記錄到不符符合項報告中中。不符合項項報告是對現(xiàn)現(xiàn)場評估得到到的評估發(fā)現(xiàn)現(xiàn)進行評審并并經(jīng)過受評估方方確認的對不符合項項的陳述，是是最終的評估估報告的一部部分，是評估估小組提交給給委托方或受受評估方的正正式文件。不符合項描述述應該明確以以下內(nèi)容：在哪里發(fā)現(xiàn)的的？描述相關關區(qū)域、文件件、記錄、設設備發(fā)現(xiàn)了什么？？客觀描述發(fā)發(fā)現(xiàn)的事實有誰在場？或或者和誰有關關？描述相關關人員、職位位為什么不合格格？描述不符符合原因，所所違背的標準準或文件條款款在對不符合項項進行描述時時，應該注意意：不符符合合項項描描述述務務必必清清楚楚明明白白，，便便于于追追溯溯描述述語語句句務務必必正正規(guī)規(guī)，，采采用用標標準準術術語語60現(xiàn)場場工工作作時時間間安安排排（（一一））現(xiàn)場場工工作作時時間間安安排排（（二二））6262召開開評評估估小小組組會會議議現(xiàn)場場評評估估結結束